Kişisel verilerin korunması ile ilgili ara ara yazılar okuyorum. Fakat bu sefer emsal niteliği teşkil edecek bir kararın çıkması benimde daha fazla dikkatimi çektiği için bu yazıyı kaleme alma ihtiyacı hissetim. Bu kanunun temel amacı 3 yıl önce yürürlüğe girdiğinde, madde-1'de belirtildiği gibi kişisel verilerin işlenmesinde başta özel hayatın gizliliği olmak üzere kişilerin temel hak ve özgürlüklerini korumak ve kişisel verileri işleyen gerçek ve tüzel kişilerin yükümlülükleri ile uyacakları usul ve esasları düzenlemektir, olarak belirtilmiştir. Daha detayı için referanslar kısmından ulaşarak okuyabilirsiniz.
KVKK ile ilgili uzman hukukçuları ve IT danışmalarının sosyal medyadaki yorumları, paylaşımları ve konuya olan ilgileri ile ilgili paylaşımları gördüğüm zaman iki farklı gruplaşma olduğunu gözlemliyorum. Hukukçular genelde bu kanunun hukuki tarafı ile ilgilenip IT tarafını ikinci plana atıyorlar. IT danışmanlarının yapmış oldukları yorumları gözlemlediğim zaman KVKK'nın IT boyutunun daha ön planda olduğu ile ilgili iddialarda bulunuyorlar. Bence her iki tarafta önemli olmakla birlikte; bu verilen karar emsal niteliği taşıdığı için ayrı bir önem arz etmektedir.
Karar tarihi: 26/11/2019
Karar no: 2019/352
Bir banka nezdinde gerçekleşen veri ihlali ile ilgili olarak kişisel verileri koruma kurulunun 26/11/2019 tarihli ve 2019/235 sayılı karar özetinde, bankanın kurum kayıtlarına intikal eden veri ihlal bildiriminin incelenmesi neticesinde
Kararın tümüne linkteki referanslar kısmından okuyabilirsiniz;
- Çalışanlar tarafından Banka dışına gönderilen e-postalara ilişkin Veri Sızıntısı tespit/önleme sistemlerinim mevcut olduğunun belirtilmesine rağmen söz konusu ihlale neden olan kurumsal e-postadan kişisel veri sızıntısı olduğu ve alınan tedbirlerin bu ihlali engellemeye yeterli olmadığı,
- Bankanın teknik tedbir olarak belirttiği "Kredi kartı numarası içeren e-postaların Banka dışına gönderilmek istenmesi durumunda, kart sayısı belirli bir adedin üzerinde ise bu e-postanın karantinaya alındığı ve gönderilemediği" tedbirinin bu tür ihlaller konusunda kötü niyetli kişilerce kolayca aşılabilecek düzeyde olduğu,
- İhlalden etkilenen kişilerin nüfus cüzdanı, bakiye, kimlik, iletişim, kredi kartı numarası vb. bilgilerinin sızdırıldığı ve bu bilgiler aracılığıyla sahte belge hazırlanarak yüksek miktarlı dolandırıcılık eylemlerine aracı olunduğu,
- Belirtilen tedbirlerin müşteri bilgisi olmadan yüksek miktarlı para çekim işlemlerine ve sahte belge düzenlemeye engel teşkil etmediği
hususları dikkate alındığında;
Kanun'un 12.maddesinde düzenlenen veri ihlallerini Kurul'a bildirim yükümlülüğü kapsamında, 2019 yılında Kurul tarafından toplamda en az 800 binin üzerinde kişiyi etkileyen 37 veri ihlal bildirimi yayımlandı.
Kurum, bu yıl toplamda 25 Çarşamba seminerine ev sahipliği yaptı. Bunun yanında Kişisel verileri koruma dergisinin ilk iki sayısı da bu yıl içinde yayınlandı.
Verilen kararları değerlendirecek olursak, KVKK kurulu birinci kararda DLP, SIEM ve Mail gw sistemlerinizi kurmuş olmanız yetmez sistemlerin prevention modda çalıştığından ve veri ihlallerine neden olabilecek durumlara karşı yeterince harden edilmediğinden, config edilmediğinden dolayı ceza kestiğini düşünebiliriz. Bu aynı zamanda bizim için şu demek; yakın zamanda yönetmiş olduğumuz sistemlerimizin yeteneklerini ve alınması gereken tüm önlemleri %100 alabiliyor olmamız, farklı senaryoları test etmemiz gerekicek demek.
İkinci madde içinse 72 saatlik bir bildirimde bulunmak söz konusu olduğu söyleniyor ancak, kurumun böyle bir veri ihlaline maruz kaldığını 72 saat içerisinde teknik olarak anlayabiliyor olması gerekicek demek gibi bir sonuç çıkıyor. : )
İşin mevzuat boyutu önemli olmakla birlikte IT uzmanlarına bu saatten sonra daha fazla iş çıkacak gibi duruyor. O zaman ürün aldık kurduk, her şey tamam. : ) KVKK'dan sınıfta mı kaldık? Güvenli günler dilerim.
Referanslar:
Hiç yorum yok :
Yorum Gönder